We staan voor je klaar
Hulp bij compliance
Als softwaregebruiker en leverancier moet je voldoen aan wetten, normen en regels. Zoals de AVG, ISO 27001, ARBIT, SOC2 of BIO. Onze continuïteitsregelingen helpen je voldoen aan deze verplichtingen.
We staan voor je klaar
Als softwaregebruiker en leverancier moet je voldoen aan wetten, normen en regels. Zoals de AVG, ISO 27001, ARBIT, SOC2 of BIO. Onze continuïteitsregelingen helpen je voldoen aan deze verplichtingen.
Daarom kies je voor ons
Juridische en technische kennis zelf in huis
Altijd (IT-)notaris als ‘Trusted Third Party’
Langlopende partnerships binnen een netwerk van specialisten
Klanten waarderen onze expertise en persoonlijke aanpak
Curator-proof -in de praktijk bewezen- continuïteitsoplossingen
Onze werkwijze
Compliance komt van het Engelse woord, to comply. Met andere woorden: het naleven van wet- en regelgeving, normen en contractuele afspraken door personen of organisaties. In vrijwel alle bedrijfssectoren en branches heb je te maken met compliance.
Afhankelijk van de branche waarin je werkt of met wie je zaken doet, moet je compliant zijn aan verschillende wetten en regels. Om aan onderstaande wet- en regelgeving te voldoen, is het belangrijk dat de software (broncode) beschikbaar is en blijft. Dit kun je aantonen door deel te nemen aan de escrowregelingen die Software Borg aanbiedt.
Met deelname aan die regelingen toon je aan dat je een concrete maatregel rondom de beschikbaarheid en continuïteit van zowel software als data hebt geïmplementeerd en dus compliant bent. Ook branche-specifieke wet- en regelgeving of normen kunnen hierin opgenomen worden.
Referenties & klantverhalen
< Lees meer referenties >
Escrow diensten
Gebruik of ontwikkel jij Software as a Service (SaaS) of on-premise? Dan garanderen we natuurlijk graag de continuïteit. Hiervoor is vaak meer nodig dan een traditionele broncode-escrow en kijken we naar de volledige keten. Hoe behoud je toegang tot je software én data? Voor het borgen van industriële digitale bedrijfsprocessen en kennis of alleen het back-uppen van je data kun je ook bij ons terecht.
Maatwerk van Software Borg
Meer weten?
De Algemene Verordening Gegevensbescherming (AVG), in het Engels General Data Protection Regulation (GDPR), is op 25 mei 2018 in werking getreden. De AVG bepaalt in grote lijnen de omgang met persoonsgegevens en zorgt ervoor dat er in de Europese Unie overal dezelfde privacyregels gelden. Van het aanwijzen van verantwoordelijken en het verstrekken van rechten aan personen tot aan het aangeven van beveiligingseisen en de hoogtes van boetes. Het doel hiervan is niet alleen om de bescherming van persoonsgegevens binnen de EU te garanderen, maar ook om het verkeer van vrije gegevens binnen de Europese interne markt, te realiseren.
Artikel 32 van de AVG heeft betrekking op de beveiliging van de verwerking van persoonsgegevens:
Gebruikers die zijn aangesloten bij onze regelingen hebben een concrete en aantoonbare maatregel genomen om te voldoen aan de AVG.
In 2016 introduceerde de EU de Directive on Security of Network and Information Systems (NIS). Deze Europese Richtlijn was de eerste EU-wetgeving op het gebied van cybersecurity. In Nederland is de NIS-richtlijn geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni). Deze richtlijn wordt in het Nederlands ook wel aangehaald als “richtlijn netwerk- en informatiebeveiliging” en afgekort tot NIB.
1) De aanbieder van een essentiële dienst en de digitale dienstverlener nemen passende en evenredige technische en organisatorische maatregelen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen. De maatregelen zorgen, gezien de stand van de techniek, voor een niveau van beveiliging dat is afgestemd op de risico’s die zich voordoen.
2) De in het eerste lid bedoelde maatregelen van de digitale dienstverlener houden in elk geval rekening met de volgende aspecten:
De Network and Information Security directive, of NIS2-richtlijn, is de opvolger van de NIS-richtlijn. Deze richtlijn is vastgesteld door de Europese Unie (EU) en bedoeld om de cyberbeveiliging en weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren. De NIS2-richtlijn vergroot de reikwijdte van de NIS-richtlijn door meer sectoren te omvatten. Ook stelt de richtlijn strengere beveiligingsnormen en meldingsvereisten voor incidenten. De NIS2-richtlijn wordt momenteel vertaald naar Nederlandse wetgeving.
In Nederland wordt de NIS2-richtlijn geïmplementeerd in de vorm van de Cyberbeveiligingswet. Op het moment dat de Cyberbeveiligingswet wordt aangenomen, vervangt deze de huidige Wbni. Ook zijn er plannen om de eisen van NIS2 te integreren in de herziene Baseline Informatiebeveiliging Overheid (BIO2.0).
De Baseline Informatiebeveiliging Overheid (BIO) is het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen (Rijk, gemeenten, provincies en waterschappen). Had voorheen iedere overheidslaag zijn eigen baseline, vanaf 2019 is er één BIO voor de gehele overheid.
De BIO is gebaseerd op de NEN-ISO/IEC 27001:2017 en de NEN-ISO/IEC 27002:2017. Op specifieke controls geeft de BIO een nadere invulling in de vorm van overheidsmaatregelen. De overheid heeft zich verplicht de BIO te implementeren. Op dit moment wordt er gewerkt aan de BIO2.0. Omdat de BIO2.0 op zijn vroegst eind 2024 van kracht zal worden, is op 1 juni 2023 de handreiking BIO2.0-opmaat opgeleverd. In hoofdstuk 17 wordt escrow behandeld.
In deze handreiking is de indeling van de controls, doelstellingen en overheidsmaatregelen in deel 2 van de BIO in lijn gebracht met de 2022-versie van de ISO-27002. Naast tekstuele wijzigingen, zijn ook een aantal overheidsmaatregelen geactualiseerd, vanwege nieuwe dreigingen, zoals ransomware. Naast de verhoging van de feitelijke veiligheid, wordt ook geanticipeerd op aanpassingen die in de BIO2.0 zullen worden doorgevoerd.
De ARBIT zijn opgesteld als een set van algemene voorwaarden die bestaat uit 1 deel met Algemene en 4 delen met Bijzondere bepalingen. In de ARBIT staan de minimumvoorwaarden waaronder de Rijksoverheid in het algemeen IT-leveringen en diensten contracteert. De ARBIT is specifiek voor alle soorten van IT-overeenkomsten (leveringen en/of diensten). In artikel 47 wordt escrow behandeld.
In de 2018-versie van de ARBIT zijn enkele aanpassingen doorgevoerd in verband met de Algemene Verordening Gegevensbescherming (AVG). In de 2022-versie zijn met het oog op het contracteren van clouddiensten aanpassingen doorgevoerd om de voorwaarden daartoe (nog) geschikter te maken. Zo wordt niet langer standaard een eeuwigdurend gebruiksrecht verlangd, en zijn bepalingen over audits, exit en informatieveiligheid aangevuld of aangepast. Naast de ARBIT zelf zijn ook in de modelovereenkomst aanpassingen doorgevoerd met het oog op het contracteren van clouddiensten.
Door gebruikers van de ARBIT is verzocht om de ARBIT meer geschikt te maken voor Agile ontwikkeltrajecten waarbij Maatwerkprogrammatuur wordt ontwikkeld (of bijvoorbeeld complexe Implementatie of configuratie van Programmatuur wordt gecontracteerd). Er is gekozen voor een nieuwe modelovereenkomst, de ‘modelovereenkomst ARBIT Agile’.
De Toolbox bevat onder andere inkoopvoorwaarden, kwaliteitsnormen en checklists, die gemeenten helpen bij het professionaliseren van de inkoop van ICT-diensten en –producten. En die IT marktpartijen faciliteren bij een herkenbaar inkooptraject. Gemeentelijke diensten digitaliseren steeds verder. Dat maakt professionalisering van inkoop van ICT essentieel. De GIBIT levert hiervoor de basis.
In artikel 36 -waarborgen continuïteit- van GIBIT 2023 worden continuïteitsrisico’s en escrow behandeld. Bij de toelichting wordt nadrukkelijk gesproken over de juridische en praktische (technische) borging van de toegang tot de data. En dat dit geregeld moet zijn voordat een calamiteit zich daadwerkelijk zou voordoen.
De ISO 27001 norm is een internationale standaard die de implementatie-eisen voor een Information Security Management System (ISMS) beschrijft. ISO 27001 eist dat organisaties systematisch risico’s voor informatieveiligheid identificeren en maatregelen nemen om deze risico’s tot een aanvaardbaar niveau terug te brengen. Het focust op het beschermen van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie door risico’s aan te pakken en ervoor te zorgen dat beveiligingsmaatregelen voldoende zijn.
ISO 27001 is een certificering waarmee je aantoont dat je voldoet aan de ISO norm voor informatiebeveiliging. Zo kunnen klanten aan deze ISO certificering zien dat het bedrijf een goede beveiliging heeft wanneer het aankomt op het verwerken van informatie. ISO 27002 is een aanvullende standaard op ISO 27001 en richt zich enkel op een specifiek aspect van het ISMS. Ze geeft meer gedetailleerdere informatie over de implementatie van de ISO 27001 maatregelen (ook wel controls genoemd).
SOC2, een auditrapport ontwikkeld door de American Institute of Certified Public Accountants (AICPA), richt zich op vijf vertrouwensdiensten: veiligheid, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy. Beschikbaarheid regel je via escrow van Software Borg.
Het belangrijkste verschil tussen SOC2 en ISO 27001 is de focus en de reikwijdte. SOC 2 richt zich op de beheersing van informatiebeveiliging binnen de dienstverlenende organisatie en is specifiek gericht op de bescherming van klantgegevens. ISO 27001 is een breder beveiligingsbeheerstandaard dat richtlijnen biedt voor een uitgebreide reeks beveiligingsaspecten binnen een organisatie.
Geen van beide normen wordt noodzakelijk als superieur beschouwd. In plaats daarvan hangt het echt af van de specifieke eisen van je bedrijf en de aard van je operaties. Sommige bedrijven geven de voorkeur aan ISO 27001 vanwege de uitgebreide benadering van informatiebeveiliging, terwijl andere bedrijven kiezen voor SOC2 vanwege de focus op specifieke serviceorganisatie-controles. Beide normen kunnen samenwerken om een robuust informatiebeveiligingsprogramma te bieden.
NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg. Elke zorgaanbieder in Nederland is verplicht om deze norm te volgen. Het houdt in dat je als zorgaanbieder de relevante wet- en regelgeving kent, je bekend bent met de risico’s van het ontbreken van informatiebeveiliging en dat er zowel gestructureerd als planmatig gewerkt wordt aan het verbeteren van de beveiliging van persoonlijke gegevens. Een certificering is volgens de Nederlandse wet niet noodzakelijk, maar elke zorgverlener of instelling moet wel kunnen laten zien dat ze aan de eisen van de NEN 7510 voldoen.
De NEN 7510 bestaat tegenwoordig uit de delen NEN 7510-1 en NEN 7510-2. Deel 1 bevat de normatieve voorschriften voor het managementsysteem en in deel 2 komen de beheersmaatregelen aan bod. De continuïteitsregelingen van Software Borg vallen onder deze beheersmaatregelen.
De NPR 5325 omschrijft, definieert en specificeert wat er behoort te worden vastgelegd wanneer software wordt overgedragen tussen partijen, welke risico’s de ontvangende partij heeft en hoe deze risico’s door de beoordelaar inzichtelijk kunnen worden gemaakt.
Vastleggen dient om overdraagbaarheid zichtbaar te maken. Wanneer overdraagbaarheid onvoldoende zichtbaar is, leidt dit tot hogere kosten of een verminderd vermogen om onderhoud van software te kunnen starten of te continueren bij de ontvangende partij.
Jouw vertrouwde escrow partner